Für DENIC als Teil der kritischen Infrastruktur in Deutschland ist die Zertifizierung nach ISO 27001 nicht nur eine Selbstverständlichkeit, sie ist auch eine elementare Basis für die Nachweiserbringung der KRITIS-Anforderungen. 2022 wurde die internationale Norm für ein Information Security Management System (ISMS) umfassend überarbeitet und um elf neue Sicherheitmaßnahmen erweitert. Berücksichtigt werden dabei technologische, organisatorische, physische und menschliche Anforderungen. Besonders bedeutsam sind u.a. die neuen Themen "Threat Intelligence" - eng verbunden mit den KRITIS-Anforderungen aus dem BSIG (Systeme zur Angriffserkennung), Informationssicherheit für die Nutzung von Cloud-Diensten sowie Maßnahmen für die Verhinderung von Datenlecks.
Grund genug für DENIC, sich auf diese neuen Anforderungen vorzubereiten und dafür auf die schon bewährte Zusammenarbeit mit den benachbarten Registries nic.at (Österreich) und SWITCH (Schweiz) zurückzugreifen. Bereits seit 2014 gibt es diese Treffen und dieses Mal fand das zweitägige interne Audit im April in Frankfurt statt. Die Security-Experten überprüften die bei DENIC bereits implementierten Maßnahmen auf Basis der neuen ISO-Norm und stellten dabei keinerlei Mängel fest. Sie gaben lediglich ein paar hilfreiche Hinweise zur kontinuierlichen Verbesserung, die das DENIC Information Security Team gerne annahm.
„Wir fühlen uns sehr gut auf das offizielle Umstellungsaudit im September 2024 vorbereitet und haben durch die offene und transparente Zusammenarbeit noch gute Hinweise für Optimierungen unserer Security-Prozesse erhalten“, so Daniel Kremer, Chief Information Security Officer bei DENIC.
Die bestehenden Zertifikate nach der alten Norm (ISO/IEC 27001:2013) sind noch bis Oktober 2025 gültig. Spätestens bis dahin, muss eine Organisation im Rahmen eines Umstellungs-Audits ihr Information Security Management System (ISMS) nach der neuen Version (ISO/IEC 27001:2022) umgestellt haben.